Сколько стоит пентест и как выбрать правильных хакеров

От 100 тысяч до 100 млн

Если говорить о вознаграждении для пентестеров, то разброс стоимости их услуг довольно большой: от сотни тысяч до сотен миллионов рублей. Все очень сильно зависит от команды исполнителей, от их репутации, опыта и квалификации, рассказала SecPost руководитель группы развития консалтинговых проектов Positive Technologies Екатерина Никитичева. По ее словам, есть случаи, когда пентестеры дают оценку высокого уровня защищенности, не прикладывая реальных усилий. Обычно такие работы практически ничего не стоят, что дискредитирует всю отрасль, уточнила она. «Крупные компании дорожат своей репутацией и занимаются серьезными исследованиями по данному направлению, обычно эта командная работа высокооплачиваемая», — подчеркнула Никитичева.

Как отмечает специалист, в последнее время набирает популярность альтернатива в виде публичных кибериспытаний с оплатой за результат, достижение заранее поставленных целей. Там стоимость публична и находится в диапазоне от 100 тысяч до 60 млн рублей за одну цель на сегодняшний день.

Руководитель управления анализа защищенности BI.ZONE Михаил Сидорук объясняет, что внутренние специалисты получают фиксированную зарплату, а подрядные команды работают по ставке за человеко-день или по контракту, багхантеры зависят от найденных уязвимостей и могут получать от десятков до сотен тысяч рублей за нахождение критической уязвимости.

Глава отдела анализа защищенности компании CICADA8 (платформа для управления внешними киберугрозам) Алексей Хайдин рассказал, что даже в вопросе поиска киберугроз есть компании, кто пытается сэкономить. «Многие компании выдают автоматизированные сканирования за пентест — и это сильно снижает стоимость, потому что не требует привлечения опытных экспертов», — пояснил он.

Хайдин уточнил, что за карьеру видел предложения «от 50 тысяч рублей и до бесконечности» за услуги пентестинга. По его словам, цена зависит от масштаба проекта, глубины тестирования и квалификации специалистов.

Пентест можно заказать и за 100 тысяч рублей у начинающего фрилансера, и за 100 миллионов у лидеров рынка, утверждает основатель агентства белых хакеров Singleton Security и образовательного центра киберэкспертизы CyberED Егор Богомолов.

«Цена зависит от скоупа для тестирования (test scope), компетенций и опыта команды пентестеров, от узнаваемости бренда компании на рынке», — сказал Богомолов.

Он советует заказчикам в первую очередь обращать внимание на компетенции команды пентестеров и просить обезличенные примеры отчетов, «чтобы примерно понимать, какого уровня качества и проработки ожидать по итогам».

В Газпромбанке рассказали SecPost, что на регулярной основе пользуются услугами внешних пентестеров по результатам проведения тендерных процедур в рамках ввода в эксплуатацию и сопровождения ключевых автоматизированных систем.

По словам замначальника департамента защиты информации банка Алексея Плешкова, стоимость пентеста может зависеть от многих факторов, среди них: объем и количество включенных в периметр проверки хостов, срочность работ – начать нужно «завтра» или через пол года, перечень согласованных с заказчиком методов и сценариев проведения пентеста, формат (очный, дистанционный или гибридный – в части логистики, заложенной в расходную часть исполнителем) проведения «взлома». Кроме того, на стоимость пентеста влияют специфика, типы, количество различных аппаратных платформ, версий операционных систем, приложений, определенных в качестве объекта проверки, общая длительность и интенсивность пентеста.

«По состоянию на ноябрь 2025 года пентест в финтехе может стоить от нескольких сотен тысяч рублей (чаще конечно стартует от 1 миллиона рублей), и до десятков, сотен миллионов рублей (если говорить про комплексные услуги, такие как «редтимминг»)», — пояснил Плешков.

Рынок продолжает расти

Опрошенные SecPost заказчики и разработчики ИБ-решений, которые предоставляют услуги пентестеров, не сошлись в оценке объемов рынка тестировщиков в денежном выражении, но все назвали цифру от 1 млрд рублей. Кроме того, все согласны, что рынок будет только расти.

Как считает Никитичева, в России сейчас пользуются спросом различные курсы по освоению профессии, поэтому каждый год появляется все больше новых компаний, которые готовы оказывать услуги по тестированию на проникновение.

«Плюс существуют платформы Bug Bounty, где представлено более 18 тысяч независимых экспертов в данной области», — отметила она.

По словам HRD Группы Rubytech (производитель программно-аппаратных комплексов и разработчик технологий для высоконагруженных ИТ-инфраструктур) Светланы Никулиной, российский рынок пентестеров переживает «период беспрецедентного роста» на фоне усиления киберугроз и ужесточения требований регулятора.

«Все больше российских компаний идут в цифровизацию, но при этом значительное количество организаций имеют опасные уязвимости в своих ИТ-системам и подвержены серьезным киберрискам, особенно явно это проявляется на уровне ИТ-инфраструктуры — критически важного фундамента любой цифровой трансформации, где уязвимости в сетевой архитектуре, серверном оборудовании и системах хранения данных могут привести к масштабным инцидентам и остановке бизнес-процессов», — заявила Никулина.

В оценках объема рынка эксперты участники разделились. Так, советник генерального директора по ИБ «КБ Рубеж» (системный интегратор полного цикла), член правления АПКИТ Дмитрий Кувшинников оценивает объем рынка в более чем 1 млрд рублей в год.

По словам же Богомолова, это ориентировочно около 2-3 миллиардов рублей. При этом он отметил, что оценить объем рынка именно наступательной безопасности довольно сложно.

«Во-первых, многие компании предлагают пентест в составе комплексных услуг, во-вторых, существенная доля заказчиков — это государство и объекты КИИ, чьи расходы зачастую засекречены», — объяснил он.

Наиболее позитивную оценку по объему рынка пентестеров дал Сидорук: по оценке BI.ZONE, объем рынка в 2025 году — примерно 3–4 миллиарда рублей, «и это только начало системного роста». По его словам, российский рынок пентеста давно оформился как самостоятельное и зрелое направление в кибербезопасности. Он перестал быть набором единичных проверок и превратился в интегрированную часть процессов управления рисками в компаниях, подчеркнул специалист.

«Рынок растет из-за увеличения числа атак на крупный бизнес и госсектор, ужесточения регуляторных требований по защите критической информационной инфраструктуры и персональных данных, а также появления новых отраслевых стандартов», — говорит Сидорук.

Как отмечает Никулина из Группы Rubytech, мировой рынок пентестинга переживает взрывной рост со среднегодовым темпом роста свыше 15%. Российский же рынок пентестинга находится в стадии динамичного развития, демонстрируя темпы роста, «значительно превышающие мировые показатели». Речь идет о среднегодовом приросте более 20%.

Богомолов не разделяет прогнозов о значительном росте объемов рынка. По его словам, бизнес заинтересован в пентестах, так как количество хакерских атак «стремительно растет» из-за текущих геополитических условий и из-за упрощения работы хакеров, которые используют ИИ.

«С другой стороны, деньги сейчас дорогие, и многие «необязательные» расходы (коими для многих компаний до сих пор является ИБ) идут под нож», — отметил он.

При этом с оценкой роста рынка в 20% в ближайшие годы согласны и в «Мегафоне».  В пресс-службе компании отметили, что, помимо разнообразия киберугроз, рост обусловлен массовой цифровизацией бизнеса и дефицитом квалифицированных ИБ-кадров. 

Чего заказчики ждут от пентестеров?

Как рассказали SecPost заказчики и поставщики услуг пентестов, для того чтобы получить заказ на поиск уязвимостей и выдерживать конкуренцию на рынке, могут потребоваться как технические навыки и опыт, так и личные качества.

Например, руководитель Red Team Билайна Герман Наместников отмечает, что при выборе пентестеров компания ориентируется на индустриальные сертификации и опыт конкретной команды.

«Так, например, специалисты, имеющие опыт прохождения курсов и сертификаций от Offensive Security (OSCP, OSCE) и других, основанных на реальных кейсах (CRTO, CRTE), хорошо показывают себя в условиях Red Team Engagement и пентестах, немаловажным является актуальный опыт участия в программах Bug Bounty (например, в формате кибериспытаний)», — подчеркнул он.

Также при выборе команды пентестеров «Билайн» обращает внимание на ее присутствие на таких площадках как «Hack the Box» и общий уровень их интеграции в профильное сообщество, добавил Наместников.

Пентест нельзя доверить «человеку с улицы», убежден директор сервисного блока компании F6 (специализируется на борьбе с киберпреступностью) Александр Соколов. Это должно быть доверенное лицо, с которым подписан NDA.

«Когда вы работаете с какой-либо компанией, у которой есть бренд и репутация, авторитет, история, договоры и NDA, лицензия ФСТЭК – риски сводятся к минимуму, такие участники рынка понимают и принимают ответственность, связанную с проведением пентестов», — объяснил он.

Если эти требования не выполняются, возникает риск передачи полученной информации об уязвимостях третьим лицам и других нежелательных последствий, считает Соколов.

Ведущий инженер по информационной безопасности UserGate uFactor Никита Бекетов обращает внимание, что даже наличие профильных сертификатов не гарантируют качественного аудита. Как правило требуется общее доверие компании, оказывающей услуги, наличие положительных референсов от других клиентов, наличие профильных сертификатов у пентестеров, охват технологий, которые могут тестировать пентестеры, в том числе web-приложения, мобильные приложения, контейнерные среды, внутренняя инфраструктура и так далее.

«На мой взгляд, прежде всего нужен опыт и насмотренность, владение широким спектром технологий», — резюмировал он.

Руководитель продуктовой безопасности «Авито» Екатерина Пухарева также отмечает, что опыт тестировщика имеет одно из определяющих значений при заключении контракта.

«Критерии выбора пентестеров включают опыт работы с крупными проектами, подтвержденную квалификацию, соблюдение конфиденциальности и навыки тестирования именного нашего технологического стека, отчет должен быть практичным инструментом: оценивать критичность уязвимостей в контексте нашего бизнеса и давать конкретные рекомендации по устранению», — подчеркнула Пухарева.

По ее словам, искусственный интеллект выступает как мощный помощник пентестера, автоматизируя рутинные проверки и увеличивая скорость работы. Пухарева уверена, что это усиливает ценность критического мышления тестировщика и умения выстраивать нестандартные цепочки атак.

«Эти навыки всегда ценились, но теперь становятся критически важными для обнаружения сложных уязвимостей, ключевым требованием остается постоянное обучение в условиях меняющегося ландшафта угроз», — пояснила она.

Пентестер, который хочет выиграть конкуренцию на рынке, должен уметь разговаривать на языке бизнеса, считает Сидорук. По его словам, для отдельного специалиста критичен реальный опыт от трех лет и умение объяснять результаты на языке бизнеса, а не только в технических терминах. Крупные заказчики в первую очередь смотрят на опыт и портфолио: важно наличие кейсов в соответствующей отрасли, будь то банки, телеком или промышленность, утверждает он.

«Команда должна покрывать все ключевые векторы: веб, инфраструктуру, Active Directory, облака, искусственный интеллект, мобильные приложения, социальную инженерию», — добавил Сидорук.

Также участники рынка обратили внимание на важность личных качеств для пентестера. По словам Наместникова, в тестировщиках также ищут обязательное стратегическое мышление, стрессоустойчивость и верность этическим принципам белых хакеров, хорошие коммуникативные навыки для реализации проникновения с помощью социальной инженерии.